Re: VPN + Openswan - no suitable connection for peer
Hallo,
Am Mittwoch, 30. März 2005 19:43 schrieb Enrico Gusek:
> Hallo,
>
> ich bin grad (d.h. seit einer Woche) am verzweifeln mit einem Versuch
> eine VPN Verbindung zu erstellen. Habe schon vieles probiert und bin
> echt am verzweifeln. Die angefügte Konfiguration schien mir noch die
> besten Ergebnisse zu liefern, bei alle anderen Konstellationen brach
> der Vorgang immer etwas früher ab.
[...]
> Auszug aus der c:\Programme\IPsec\ipsec.conf (vom Client)
> =====================================================================
>======= conn Roadwarrior
> left=%any
> right=10.254.254.200
> rightsubnet=10.254.0.0/24
> rightca="C=DE, S=Saxony, L=Dresden, O=Enrico Gusek bIT, OU=WAN,
> CN=CA Enrico Gusek bIT"
> network=lan
> auto=start
> pfs=yes
sieht aus meiner Erinnerung ganz gut aus. Ich habe aber keine Windows
Clients mehr im Einsatz.
>
> Hier kommt alles vom Server
>
> Auszug aus der /etc/ipsec.conf
> =====================================================================
>======= ==================================
>
[...]
> # basic configuration
> config setup
> interfaces=%defaultroute
> #interfaces="ipsec0=eth0"
> plutodebug=none
> klipsdebug=none
> uniqueids=no
>
> #plutodebug="control"
> #klipsdebug=none
> #plutodebug=all
> #klipsdebug=all
>
>
> conn %default
> keyingtries=0
> authby=rsasig
> leftrsasigkey=%cert
> rightrsasigkey=%cert
> left=%defaultroute
> #left=10.254.254.200
> leftsubnet=10.254.0.0/24
> leftid="C=DE, ST=Saxony, O=Enrico Gusek bIT, OU=WAN,
> CN=SVRVPN"
Hier liegt glaube ich das Problem.
Versuch mal anstatt mit
leftid=<CN>
besser
leftcert=dein_gate_cert.pem
zu benutzen.
Du hast dir ja von deiner (selbsterstellten) root-ca (mindestens) zwei
Zertifikate für Server und einen Roadwarrior (win-Client) erstellt und
kannst (oder mußt sogar?) anstatt der ID auch direkt den Namen der
Zertifikat-Datei vom Gateway angeben.
Deinen Logauszügen zufolge findet er nämlich keine Connection für die ID
deines Win-Clients.
>
> conn Roadwarrior
> right=%any
> #right=10.254.254.155
> type=tunnel
> keyexchange=ike
> pfs=yes
> auto=add
> #auto=start
sieht auch ganz gut aus.
> #Disable Opportunistic Encryption
> include /etc/ipsec.d/examples/no_oe.conf
kenn ich nicht.
>
> Auszug aus ipsec whack --status
> =====================================================================
>======= ==================================
> svrvpn:/home/enrico# ipsec whack --status
> 000 interface lo/lo ::1
> 000 interface lo/lo 127.0.0.1
> 000 interface eth0/eth0 10.254.254.200
> 000 interface eth1/eth1 10.254.0.200
> 000 %myid = (none)
> 000 debug none
> 000
> 000 algorithm ESP encrypt: id=2, name=ESP_DES, ivlen=8,
> keysizemin=64, keysizemax=64
> 000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8,
> keysizemin=192, keysizemax=192
> 000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=8,
> keysizemin=40, keysizemax=448
> 000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0,
> keysizemin=0, keysizemax=0
> 000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8,
> keysizemin=128, keysizemax=256
> 000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=8,
> keysizemin=128, keysizemax=256
> 000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8,
> keysizemin=128, keysizemax=256
> 000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5,
> keysizemin=128, keysizemax=128
> 000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1,
> keysizemin=160, keysizemax=160
> 000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256,
> keysizemin=256, keysizemax=256
> 000 algorithm ESP auth attr: id=251, name=(null), keysizemin=0,
> keysizemax=0 000
> 000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16,
> keydeflen=128
> 000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8,
> keydeflen=192
> 000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20
> 000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16
> 000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024,
> bits=1024 000 algorithm IKE dh group: id=5,
> name=OAKLEY_GROUP_MODP1536, bits=1536 000 algorithm IKE dh group:
> id=14, name=OAKLEY_GROUP_MODP2048, bits=2048 000 algorithm IKE dh
> group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072 000 algorithm IKE
> dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096 000 algorithm
> IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144 000
> algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192
> 000
> 000 stats db_ops.c: {curr_cnt, total_cnt, maxsz} :context={0,0,0}
> trans={0,0,0} attrs={0,0,0}
> 000
> 000 "Roadwarrior": 10.254.0.0/24===10.254.254.200[C=DE, ST=Saxony,
> O=Enrico Gusek bIT, OU=WAN, CN=SVRVPN]---10.254.254.254...%any;
> unrouted; eroute owner: #0
hier scheint aufgrund des fehlenden leftcert etwas zu fehlen oder ist
bei OpenSwan unterschiedlich.
Dort sollte die CA erwähnt werden deren Zertifikate (deine Roadwarrior)
aktzeptiert werden. Sieht etwa so aus:(stammt aus nem Log meiner
FreeSwan Installation)
000 "roadwarrior": CAs: 'C=DE, ST=Brandenburg, L=Cottbus, O=bla,
OU=bla-CA, CN=xxx, E=xxx@xxx.de'...'%any'
> 000 "Roadwarrior": srcip=unset; dstip=unset
> 000 "Roadwarrior": ike_life: 3600s; ipsec_life: 28800s;
> rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
> 000 "Roadwarrior": policy: RSASIG+ENCRYPT+TUNNEL+PFS; prio: 24,32;
> interface: eth0;
> 000 "Roadwarrior": newest ISAKMP SA: #0; newest IPsec SA: #0;
> 000
> 000
>
>
[...]
> Mar 30 20:17:46 svrvpn pluto[11639]: packet from 10.254.254.155:500:
> ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004]
> Mar 30 20:17:46 svrvpn pluto[11639]: packet from 10.254.254.155:500:
> ignoring Vendor ID payload [FRAGMENTATION]
> Mar 30 20:17:46 svrvpn pluto[11639]: packet from 10.254.254.155:500:
> received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
> meth=106, but port floating is off
> Mar 30 20:17:47 svrvpn pluto[11639]: packet from 10.254.254.155:500:
> ignoring Vendor ID payload [Vid-Initial-Contact]
> Mar 30 20:17:47 svrvpn pluto[11639]: "Roadwarrior"[1] 10.254.254.155
> #1: responding to Main Mode from unknown peer 10.254.254.155
> Mar 30 20:17:47 svrvpn pluto[11639]: "Roadwarrior"[1] 10.254.254.155
> #1: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
> Mar 30 20:17:47 svrvpn pluto[11639]: "Roadwarrior"[1] 10.254.254.155
> #1: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
> Mar 30 20:17:47 svrvpn pluto[11639]: "Roadwarrior"[1] 10.254.254.155
> #1: Main mode peer ID is ID_DER_ASN1_DN: 'C=DE, ST=Saxony, O=Enrico
> Gusek bIT, OU=WAN, CN=eGusek'
> Mar 30 20:17:47 svrvpn pluto[11639]: "Roadwarrior"[1] 10.254.254.155
> #1: no suitable connection for peer 'C=DE, ST=Saxony, O=Enrico Gusek
> bIT, OU=WAN, CN=eGusek'
Das ist wohl der springende Punkt wie du sicherlich auch schon
festgestellt hast. Er scheint nicht zu wissen das seine Roadwarrior
Connection alle Zertifikate der eigens erstellten root-ca (geladen hat
er die ja) aktzeptieren soll.
Eventuell löst ja die oben erwähnte leftcert Einstellung.
--
Markus Schulz
Reply to: